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Contextuai Ização 


• Área bastante abrangente (tempo insuficiente); 

• Apresentação de principais conceitos envolvidos; 

• Listas não exaustivas de técnicas e ferramentas; 

• Screenshots e Links (material complementar); 

• Prática limitada com principais ferramentas; 

• Objetivo Principal: Apresentar o assunto e 
estimular o estudo na área. 
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Defi n ções 

Análise Forense 


“A aplicação de princípios das ciências físicas ao direito na busca 
da verdade em questões cíveis, criminais e de comportamento 
social para que não se cometam injustiças contra qualquer 

membro da sociedade” 

(Manual de Patologia Forense do Colégio de Patologistas Americanos, 1990). 


Levantar evidências que contam a história do fato: 

• Quando? 

• Como? 

• Porque? 

• Onde? 

Normas e Procedimentos 
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Definições 

Análise Forense Computacional 

• Supre as necessidades das instituições legais 
para manipulação de evidências eletrônicas, 

• Estuda a aquisição , preservação , identificação . 
extração , recuperação e análise de dados em 
formato eletrônico; 

• Produz informações diretas e não interoretativas . 
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Definições 

Análise Forense Computacional 

• Computação Forense é a ciência que trata do 
exame, análise e investigação de um incidente 

computacional , ou seja, que envolvam a 
computação como meio, sob a ótica forense, 
sendo ela cível ou penal. 

• Na criminalística a Computação Forense trata o 
incidente computacional na esfera penal, 
determinando causas, meios, autoria e 

conseaüências 
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Definições 

Análise Forense Computacional 

• Permite o rastreamento, identificação e 
comprovação da autoria de ações não autorizadas 

• Auxilia em investigações que apuram desde 
violações de normas internas a crimes 
eletrônicos. 
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Definições 

Análise Forense Computacional :: Aspectos Legais 

• Enquanto não existe uma padronização das 
metolodologias de análise forense, é feito um 
paralelo com métodos tradicionais, a fim de se 
garantir o valor judicial de uma prova eletrônica; 


• É fundamental ao perito a compreensão do Código de 
Processo Penal - "Capítulo II - Do Exame do Corpo de 
Delito, e das Perícias em Geral". 
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Definições 

Análise Forense Computacional :: Aspectos Legais 

• Artigo 170: "A/as perícias de laboratório, os peritos 
guardarão material suficiente para a eventualidade 
de nova perícia. Sempre que conveniente, os laudos 
serão ilustrados com provas fotográficas, ou 
microfotográficas, desenhos ou esquemas“. 


• Artigo 171: "Nos crimes cometidos com destruição ou 
rompimento de obstáculo a subtração da coisa, ou 
por meio de escalada, os peritos, além de 
descrever os vestígios, indicarão com que 
instrumentos, por que meios e em que época 
presumem ter sido o fato praticado". 
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Definições 

Análise Forense Computacional :: Aspectos Legais 

• Adaptação das normas da perícia convencional 
(Código de Processo Penal); 

• Exemplo : 

- "Os peritos deverão guardar material 
suficiente para nova perícia", (do Código de 
Processo Penal - Artigo 170) 

- Entende-se que deve-se fazer cópias com 
assinaturas digitais para análise futura. 
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Primeiros Registros 


• Fraudes na contabilidade bancária, cometidas por 
funcionários responsáveis pela área de informática da 
instituição; 

• Fraudes contra o governo; 

• Fraudes contra o usuário. 


Em Crime by Computer, o autor Donn B. Parker cita o primeiro 
caso que se teve notícia nos EUA, mais precisamente no estado 
de Minnesota, noticiado através do Minneapolis Tribune do dia 18 
de outubro de 1966, sob o título "PERITO EM COMPUTADOR 
ACUSADO DE FALSIFICAR SEU SALDO BANCÁRIO" 
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Necessidade de Perícia 


• O Gartner Group, estima que os PHISHING SCAMS, 
custaram 1,2 bilhão de dólares às administradoras 
de cartão de crédito e bancos americanos em 2007; 

• Diz também que cerca de 57 milhões de americanos 
estiveram sujeitos a este tipo de fraude online no 
mesmo ano. 
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Resultados (Operações PF) 


• CAVALO-DE-TROIA Novembro/2003 

• Pará, Maranhão, Teresina e Ceará. 54 prisões 

• CAVALO-DE-TRÓIA II Outubro/2004 

• Pará, Maranhão, Tocantins e Ceará. 77 prisões 

• MATRIX Março/2005 

• Rio Grande do Sul 8 Prisões 

• ANJO DA GUARDA I Julho/2005 

• Buscas em 8 Estados Prisão em Volta Redonda-RJ 

• ANJO DA GUARDA II Agosto /2005 

• Cumprimento de prisões em PR, SP, MA 

• PEGASUS - setembro/2005 

• 127 Prisões em Goiás, Tocantins, Pará, ES, SP e MG 
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Resultados (Operações PF) 


• GALÁCTICOS - agosto/06 

• Cerca de 65 prisões / Imperatriz/MA 

• REPLICANTE - setembro/06 

• Cerca de 60 prisões / Goiânia/GO 

• CTRL ALT DEL - dezembro/06 

• Cerca 39 prisões no Pará 

• CARROSSEL - dezembro 07 ação contra a pedofilia 

• Cerca de 14 estados no BR e 78 países 
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Onde é Necessário? 


• Defacements com violação de dados de sites; 

• Defacements com difamação em sites; 

• Ataques a servidores; 

• E-mails falsos; 

• Roubo de dados (usando phishing scam p.ex.); 

• Difamação; 

• Ameaças; 

• Retiradas e transferências de contas bancárias; 

• Investigações sobre pedofilia; 

• Investigações sobre crimes comuns com indícios de 
provas em computadores e/ou mídias. 

• Etc etc etc... 
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Características do Perito 


• Necessidade de profundos conhecimentos 
técnicos; 

• Conhecimento de ferramentas específicas; 

• Ética. 


O perito não é um policial nem juiz... 

Não pode se envolver pessoalmente em prisões ou 
julgar os praticantes dos delitos descobertos 


• Caso do aluno homossexual 

• Caso da professora separada 
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Iferefas do Perito 


• Preservar os dispositivos 

- Cópia integral (e fiel) das mídias 

- Hash (resumo criptográfico) para garantira 
integridade dos dados 

• Preservação dos Logs 

• Ata Notarial (constatação escrita, atestada por 
testemunhas, da ocorrência de um fato) 
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Cuidados mm a Lei (Privacidade) 


• Invasão de privacidade também é crime - o 
perito não deve "invadir" sistemas ou analisar 
dados de um suspeito sem ordem judicial; 

• Quando se analisa servidores de arquivos, antes 
é feita uma restrição na área de busca para não 
violar a privacidade de inocentes; 

• Seguir a política de segurança (se houver) da 
instituição (conhecida por todos os usuários). 
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Reconhecimento dJ® Atividade 


Legislação do Estado de São Paulo 
Decreto n Q 48.009, de 11 de agosto de 2003 

Artigo 12 - O Núcleo de Perícias de Informática tem 
por atribuição realizar perícias visando à 
elaboração de laudos periciais de locais e peças 
envolvendo aparelhos computadorizados, 
"software", "hardware" e periféricos, relacionados 
com a prática de infrações penais na área de 
informática. 
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Fült® í\'d PiJ(SJp2)IIQ2ÍIÇ|j© 


• Ausência de normas possibilita uma margem 
de erro muito grande para evidências 
despercebidas; 

• Procedimentos... Ferramentas... qual 
deve/pode ser utilizada legalmente? 

• Peritos x Advogados !! 


Ex.: Boaz Guttman 
http://www.4law.co.il 
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Tentativas da ^a^Jroniisçi© 


* Proposed Standards for the Exchange of 
Digital Evidence 

- Scientific Working Group on Digital Evidence (SWGDE) 

* International Principies for Computer 
Evidence 

- International Organization on Digital Evidence (IOCE) 


Estes padrões foram apresentados durante a International 
Hi-Tech Crime and Forensics Conference (IHCFC), 
realizada em Londres, de 4 a 7 de outubro de 1999. 
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Dificuldades Myais 


• Omissões na legislação federal existente: 

• Obrigações dos provedores e usuários 

• Retenção de logs de acesso e dados cadastrais 

• Regulamentação de funcionamento: 

• Cyber-cafés 

• Salas de bate-papo 

• Cooperação internacional às vezes é lenta e 
ineficiente 


• Aumento dos crimes cibernéticos x Número de 
Peritos 

• Aumento na capacidade de armazenamento 


^ • Novas técnicas (criptografia/anti-forense) 
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Definições 

Análise Forense Computacional 

• Aquisição 

• Preservação 

• Identificação 

• Extração 

• Recuperação 

• Análise 

• Apresentação (documentação) 

ôseginfo 
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Aquisição de Dados 




O que Coletar? 


Mídias 

• Hds, pendrives, cds, dvds... 

Dados em memória 

• Em análises com equipamentos ligados 
Dados trafegando na rede 

• Em investigações de tráfego de informações 

• Também com equipamentos ligados 
Dispositivos não convencionais 

• Câmeras digitais, óculos/relógios/pulseiras... (com 
dispositivos de armazenamento). 
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Aquisição de Dados 




• Interfaces externas (baseadas em USB e/ou 
firewire) são indicadas para auxiliar este processo. 
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Aquisição de Dados 



• O uso de bloqueadores de escrita para 
aquisição a partir das mídias originais 
é fortemente recomendado 
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Aquisição de Dados 



©Iseginfo 


Maletas com kits otimizados para aquisição de 
dados de várias mídias estão disponíveis. 
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Aquisição (Remota) de i)tid3©s 


• Mídias muito grandes e/ou equipamentos de coleta 
limitados (ou inexistentes); 

• Uso da rede para envio de dados; 

• Estação pericial remota; 

• Criptografia é fundamental; 

• Principal Dificuldade: Atestar integridade dos dados 
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Aquusíiçào de Dados 

Dados armazenados fora dos equipamentos 

• Sistemas de arquivos remotos; 

• Backups em provedores de conteúdo; 

• Servidores corporativos externos; 

• Datacenters internacionais. 


Necessária a Intervenção do Juiz 
(Ordem Judicial) 
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Preservação de Dados 


• Como manipular dados sem alterar o seu 
conteúdo original? 









Preservação de Dados 


• A alteração de dados pode ser comparada a 
alteração da cena de um crime no mundo real. 








Preservação de Dados 


• Garantir bloqueio de dados antes da cópia = 
Impedir alteração da mídia original durante os 
procedimentos de aquisição; 

• Somente depois da cópia fiel dos dados (atestado 
por peritos e testemunhas) a mídia original pode 
ser dispensada. 

• Perito Oficial (fé pública); 

• Perito Convidado (necessidade de testemunhas). 
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Identificação de Dados 


• Todo o material apreendido para análise deve ser 
detalhadamente relacionado em um documento 

( Cadeia de Custódia ) ; 

• O uso de assinaturas hash (MD5/SHA1/SHA256) é 
fundamental para garantir que os dados coletados e 
armazenados como prova não serão modificados 
futuramente. 
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Extração/Recuperação tí© Dados 


• Após a coleta, a manipulação dos dados das 
mídias pode ser feita pelo próprio perito ou 
posteriormente por outro (inclusive por um perito 
contratado por advogados que contestaram os 
laudos); 

• Extração é o processo de retirar das mídias 
periciadas as informações disponíveis; 

• Recuperação é o processo de buscar dados 
removidos total ou parcialmente, propositalmente 
ou não. 


ÜNeginfo 
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Análise #a Evjdêncuas 


• E uma das fases mais demoradas, onde o perito 
utiliza ferramentas e técnicas para extrair 
informações das mídias periciadas; 

• Esta fase exige cuidado especial em proporção 
igual ao volume de dados analisados, já que nem 
sempre as evidências são explícitas (nomes e 
formatos de arquivos p.ex.). 
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Apresentação d© Resultados 

(Laudos iPmriciais) 


• Esta fase é tecnicamente chamada de "substanciação 
da evidência", pois nela consiste o enquadramento das 
evidências dentro do formato jurídico , sendo inseridas, 
pelo juiz ou pelos advogados, na esfera civil ou criminal 
ou mesmo em ambas; 

• Deve representar as conclusões do perito em linguagem 
clara para apresentação em julgamentos (ou com dados 
técnicos comentados). 
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Apresentação d© Resultados 

(Laudos Periciais) 


• Os Laudos devem conter: 

• Finalidade da Investigação; 

• Autor(es) do Laudo (peritos envolvidos); 

• Resumo do caso/incidente; 

• Relação de evidências analisadas e seus detalhes; 

• Conclusão; 

• Anexos; 

• Glossário. 

• Metodologia / técnicas / softwares utilizados. 
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Resumindo 


















Imagens para Perucoa 


• Aquisição de uma imagem de um HD é, em muitos casos, 
o ponto de partida de uma investigação; 

• A técnica conhecida como "dead analysis" determina 
que o HD a ser analisado deve ser clonado bit a bit e 
qualquer análise deve ser feita nessa cópia, de forma a 
manter o HD íntegro; 

• A imagem deve copiar todos os dados do HD, incluindo 
as partes não utilizadas. 

ôseginfo 

Perícia Forense Computacional:: Ricardo Kléber (www.ricardokleber.com.br) 







Imagens para Perícoa 

O aue utilizar ? 

• Existem várias ferramentas para esta tarefa; 

• A maioria implementa o mesmo formato (raw); 

• Esse é, literalmente, uma cópia fiel do HD; 

• Formato gerado pela ferramenda dd (padrão); 

• Entretanto não é o único formato disponível. 
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Imagens para Perucoa 


Imaaens RAW 
• Pontos Positivos: 

• Formato facilmente “montável”; 

• Independe de ferramentas específicas; 

• Muitas ferramentas disponíveis, tanto para linha de comando (CLI) quanto para 
interface gráfica (GUI); 

• Disponível em utilitários tanto para Linux quanto para Windows; 

• É possível montar imagens raw de HDs no Windows usando produtos free, 
permitindo uma série de análises específicas através de utilitários que só existem 
em Windows; 

• Muito útil em análises de malware. 
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Imagens para Perucoa 


Imaaens RAW 


• Pontos Negativos: 



• Não possui compactação 

• Os arquivos raw são muito grandes; 

• Caso sejam compactados por algum utilitário de compactação (zip, gzip, 
tar, etc), eles não poderão ser montados dessa forma, requerendo que sejam 
descompactados antes de serem montados e usados. 

• Não é possível adicionar dados da investigação ao arquivo raw. 

• Todas as informações relativas ao caso ou ao arquivo devem ser 
armazenadas à parte, em outros arquivos/dispositivos; 

• Não monta facilmente se estiver dividido. 

• Para se montar uma imagem de 80Gb dividida em 10 pedaços de 8Gb, os 
pedaços precisam ser concatenados antes e somente após isso podem ser 
montados. 

• Algumas operações são mais lentas devido ao grande tamanho. 
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Imagens para Perucoa 


Outros Tipos de Imagens 

• Expert Witness (E01) 

• Propietário do Encase 

• Permite compactação (sem perda) 

• SGZIP 

• Utilizado pelo pyFlag (baseado no gzip) 

• Compactado mas com possibilidade de montagem e pesquisa interna 

• Código-fonte aberto 

• Não monta em Windows (é necessário converter para raw antes disso) 

• Advanced Forensic Format (AFF) 

• Tentativa de padronização e solução de problemas dos anteriores 

• Usa compactação, tratamento de erros e oferece bibliotecas para adaptação 

• Em fase de testes mas com forte tendência de consolidação. 
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Ferramentas 


a 



• Freeware 

• Shareware (limitações !!??) 

• Comerciais ($$$ !!??) 

• Pirataria (ética !!?? fundamento básico) 
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Ferramen tas Windows 


V 

8r 


e 


Windows Sysinternals ^ 

Criado em 1996 por Mark Russinovich and Bryce Cogswell 
Comprada pela Microsoft em Julho/2006 


• Ferramentas avançadas para manipulação e coleta de 
informações de sistemas Windows 

• Fóruns permanentes para tirar dúvidas e compartilhar 
informações sobre as ferramentas. 

• http://live.sysinternals.com 


• http://technet.microsoft.com/en-us/sysinternals/default.aspx 



f Windows Sysinternals 
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Ferramentas Windows 



Windows Sysinternals 


• Principais Ferramentas 


• Process Explorer 

• Process Monitor 

• Autoruns 

• RootkitRevealer 

• TcpView 

• Bglnfo 

• Strings 
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Ferramentas Windows 


• Process Explorer 

• Lista detalhada de processos em execução (e DLLs) 

• http://download.sysinternals .com/Files/ProcessExplorer.zip 
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Ferramentas Windows 


• Process Explorer 


i System Information 


CPU Usage CPU Utage Hatcry 



Coomt 


Corrmt Hutory 


Tctals 


Phystcal Memory (K) 

Pagng 


Handes 

39.806 

Total 

2.094.504 

Page Fotft Delta 

1.593 

Threads 

1.047 

Avaiable 

466.796 

Page Read Dela 

0 

Processes 

70 

System Coche 

579.144 

Pagng fiíe Write Delo 

0 

Corrmt Charge (K) 


Kemel Memory OQ 


Mopped Pie ViVte Delta 

0 

CoTcrt 

2.977.824 

Paged Physicol 

67.132 

CPU and l/O 


ümt 

4.424.324 

Paged Vrtual 

95.332 

Córtex: Swich Dela 

13.207 

Peak 

3.048.128 

Paged ümí 

nosymboís 

1/0 Read Dela 

100 

Peak/Uml 

88 85*4 

Uonpaçed 

50.128 

l/O Wrte Dda 

10 

Cirrert/limt 

6731*4 

Monpaged Uní 

no j>tt6o$s 

l/O Other Dda 

585 


y Show one sraph per CPU 


ôsegimo 




CPU 1 (Core 1) SS.56’4 

_]_- Mi 


InoRT exe 544 34.83% liD 

1 


3:12:18PM _ /HLj_à-»4- 

VAAr»r.;W V'- V^/ 

à) 1 • j. 


rQr V/N 

r> 



OK 
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Ferramentas Windows 


Process Monitor 


• http://download.sysinternals .com/Files/ProcessMonitor.zip 


^ P*ocess • Sy>merrefc sys»nter*«fc<CGm 
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ôseginfo 
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Ferramentas Windows 


Autoruns 


segin 
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Ferramentas Windows 


• RootkitRevealer 


* líflptkít(?Ê¥ea'!sr Syiinterma!*: mwr. sysi nte rnalü rCpm 
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Ferramentas 


TcpView 


j^seginf 


4 TCPView - Sys internais 
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Ferramentas Windows 

• Bglnfo 


□ BGhfo ■ Dcfcsult conRgurítion 


[■«a I B 


Fiíe Bftfnap Edrt Fonwt Help 


VSYVW.7V5 : rclfrin.i s.cam 


An sl 


l: 


s i! & m*» B 


■ i 


i. i. i ■ 


■ ■ i ■ 11 


FkU! 


Boot Ume: 

<Boot Hme> 

CRO: 

<CFU> 

Defayil Gateway:; 

<Defauít Gateway* 

DNCP Server: 

<DHCP Server> 

DNS Server: 

ONS Server> 

Free Space: 

<Fr« $pace> 

Host Mame: 

<Host Name> 

IE Veraion: 

ílE Veraion* 

IP Addreas: 

<P Addraw 

Logon Dom ai n : 

<Logon Domai rt> 

Logon Server: 

<Logon Server* 

MAC Addresa: 

íMAC Addresa> 

Machine Domaln: 

<Machitie Damaln> 

Memory: 

<Memory> 

NetWork Ca rd: 

'cNetworh Card> 

NetWork Speed: 

cNetwork $peed> 

NetworK Type: 

<NetWórk Type> 

OS Version: 

<OS Version* 


Bool T íi* 

J" 

CPU 


Díl*J GiJeviHBí 


DHCPSwrti 


DNÍ Íítyéi 


Frss Spacc 


Hccí N*Tit 


^rT.,. 

IPAdJfÇi! 



t-AM 


Cwtom 


Bsdígiwnd 


P<H|lign 


DílkJtopí 


F^ewew 


Appfc 


Ijl. 


Cycti 


ôseginfo 


BEBCS 
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Ferramentas Windows 


• Bglnfo 






Q L 

Ccmpirter bginfo 


Centre! Pinei 

v 

Recycte Din 


Host Name: 

Boot Time: 

CPU: 

Free Space: 

IP Address: 
Memory: 

OS Version: 
Seivice Pack: 
SnapshotTime: 
System Type: 
Volumes: 


OHVPC-SOURCE 

9/28/200711:51 AM 

3.00 GHz Intel Pentium(R) 4 

C:\54.84GBNTFS 

172.30.170.71 

512 MB 

Windows Vista 
No Service pack 
9/28/200711:08 AM 
Workstation, Terminal Server 
C:\ 64.00 GB NTFS 


seginfo 
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Ferramentas Windows 


• Duplicação Pericial :: HirerTs 






Norton Ghost 
Acronis True Image 
Drive SnapShot 


Ghost Image Explorer 
Drivelmage Explorer 
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Ferramentas Windows 


• Recuperação de Arquivos Apagados 

• Active Partition Recovery 

• Active Uneraser 

• Ontrack Easy Recovery Pro 

• Winternals Disk Commander 

• Lost & Found 

• Prosoft Media Tools 

• Active Undelete 
Restoration 
GetDataBack for FAT 
GetDataBack for NTFS 
Recuva 
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Ferramentas Windows 


• Duplicação Pericial 

• Norton Ghost ?? 

• Imagem .GHO e .GHS (formatos propietários) 

• Imagem .VMDK (Vmware) 

• Image Center (Drive Image) ?? 

• Imagem .PQI (formato propietário) 

• Acronis True Image ?? 

• Imagem TIB (formato propietário) 

• Drive Snapshot ?? 

• Imagem .SNA (formato propietário) 

• dd (for Windows) 

• Imagem .RAW (mais indicado !!!) 
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Ferramentas Windows 


• Duplicação Pericial:: dd (for Windows) 

• http://www.chrysocome.net/dd 

• dd —list 

• Lista as partições (origens) 

• dd if=origem of=destino 
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Ferramentas Windows 


I • EnCase 

• Desenvolvido pela Guidance Software 

B http://www.guidancesoftware.com 

• Versões Enterprise e Forensic Edition 

• + Versão de uso restrito (Policy Enforcement) 

• Ferramenta Comercial Mais Conhecida e Recomendada 
para Análise Forense a partir de Máquinas Windows 

• Relatórios Detalhados, Linguagem de Script (EnScript) 

• EnCase Neutrino (Mobile Devices) 

Oseginfo 

Perícia Forense Computacional:: Ricardo Kléber (www.ricardokleber.com.br) 











Ferramentas Windows 

EnCase Forensic Edition 

Tela Principal (Identificação de Componentes) 


File Edit View Tools Help 


jj New Open J Save Print Add Device Search j 

jj Refresh Close ^ 


^ Cases 

X 

JTable _Report jJ B Gallery ^Timeline O Disk d' Code 

■ ■ Home ^ Entries [jj Bookmarks d Search \ i ► 



Name 

File ^ File 

Ext Type 

File a 

Category 

^ Home tK}c File Extents Q Permissions 


□ 

i 

AUTOEXEC.BAT 

BAT Batch 

Code\Executable 

HCO Entries 

A 

□ 

2 

NTDETECT.COM 

COM DOS Executable 

Code\Executable 

á-co Q Fiske 


P 

3 

boot.ini 

ini Initialization 

Windows 


b 

4 

CONFIG. SYS 

SYS Device Driver 

Code\Executable 

m =f>Q £3 $Extend 

TrefiRane 

i+HDQ Documents and Settings 

—qq ;|_^j Downloads 


p 

5 

tpBle 

pag&fileTsy? 

rn svs 

|—|SYS Device Driver 
* ‘ Çfevice Driver 

SYS Device Driver 

Code\Executable 

V 

ET 

1 | 

6 

7 

Code\Executable 

C nrle^Fxen ihahle 

>! 


EI 

Text _] Hex JJ r _| Report > | Console | Q Lock Q 0/17729 

: EnScripts f Filters [{= Conditions Qi i ► 

000 

060 

120 

ISO 

[Jboot loader] timeout=30 de f ault =nmlt-i (0) disk (0) rdisk < 0) pa a 
rtit-ion (1) WINDOWS [operat-ing systems] multi (0)disk<0>rdis 
k (0) partition < 1) WIND0WS= "Microso ft Windows XP Pr o f essional" 

/ f astdet-ect 

View Pane 

V 

< 

F 

—■ d* EDS Encrypted Registry Parser 
— ■ EnCase File Report 
y ; FAT Info Record Finder 

File Findei. 

11 llBTloIrioíl Í1 6 

—4^ Find Unique EMail Address List 
— ^ HTML Carver 

| > 

Fiske\Fiske\C\boot.ini (PS 2103693 LS 2103630 CL 262953 SO 288 FO 0 LEI) 


mi y 
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Ferramentas Windows 

EnCase Forensic Edition 

Criação de Filtros com a Linguagem de Programação EnScript 


File Edit Víew Tools Help 

j New Open —J Save Print Add Device 5earch ! Logon jjj Relresh 
Cases Keywords X 

Home „ Entries Bookrn 4 ► 


I 


Table 


Report JJ B Cal ler y j Timeline Disk Code 


Narne 


File J 
Ext 


File 


Home jQa File Extents | P 14 ► 

□ 

3 

ír^l x86_Microsol : t.Win... 

0_x-wi. 



-!-CO % Entries 

A 

□ 

4 

Ir°i x86_Microsoft. Win... 

0_x-wi. 


Ú-W3 Q Fiske 

• — 1 

□ 

5 

x86_Microsoft.Tool... 

0_x-wi. 



- mz\^ c 


□ 

6 

change.log. 1 

1 



|— Q í Extend 

V 

n 

7 

INFCACHE. 1 

1 


v; 

< 1 1 11 > 


< 

mi 1 





>1 

[3p] Text ] Hex J5 P 

R.eport 

- —n— 

Console 4 ^ EriScripts 

Filters ] Conditions 

0 Queries 




0 0 0 0 yHDX ( ■ ■ H ■ x. 

0 0 3 e ■ ■ ■ ■ 4 ■ ■ ■ 1 ■ 1 ■ 1 ■ 1. 

0072 .h- R.. 

010S ■ ■ ■ ■ 0 ] Sani-iÃ- 0 ] SaOl-iÃ- 0 ] SaOliÃ» 0 ] Sadhl- 

Cl 14 4 ■ □. íE.$ ■ A ■ t ■ t ■ r ■ 

018 0 D ■ e ■ f.h. ■ R. 

0216 0 ] aaOhÃ ■ 0 ] ffiaOliÃ ■ 0 ] SaOhA■ 0 ] Jl&Ohl. 

0 2 £ 2.£ ■ B ■ a ■ d ■ C ■ 1 ■ u. ■ 

0288 s.' ■ P. 0]la 

0324 □hl ■ 0 ] SaDlil ■ 0 ] EaElhl ■ 0 ] SaOhl. 

0 3 6 0 D.f ■ B ■ i ■ t ■ m ■ a ■ p. 

0336 ■■■■'■ L.0 ] SaDl-il- 0 ] EaDhl- V 


L[íi 


Conditions 


Insert 


Adjust Rows 


Export... 

Import... 
New Folder. 


segnr.tr 


FiskeiFiskeiC (P5 7395799 L5 7395736 CL 924467 50 000 FO 0 LE 1) 
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Ferramentas Windows 


EnCase Forensic Edition 

[LinEn] Ferramenta de Aquisição de Dados para Linux 



seginfo 
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Ferramentas Windows 

EnCase Forensic Edition 

Suporte a Unicode = Exibição de Dados em Várias Línguas 




File Edit View Tools Help 
U New ^ Open d Sa ve ^ Print 


Add Device Search g Refresh Delete ^ 


Cases 


Text Styles 


X 


Home ^ Entries Bookmarks .3 '4 y 

L f :; Home 1—1 File Extents Q Permissions 4 y 

+ -DO Êj) Compressed 
—| Foreign Does 


Text 


0100 
0184 
0344 
i 1430 
D586 
hgue 


| | Table jj|i| Report ■■} Ciallen/ 3 Timeline Disk ^ Code 


Narne 

File 

Ext 

File 

Type 

d 

□ 7 

JS±$«\doc 

doc 

Word Document 

I 

8 


txt Text 

d 

-iLJ .. Jd 



Hex ■■■ Picture |j|| Report [T] Console Details ] Lock ] 0/1 


000 pjíig©i000 pm&ízt&iiVòu 
c-f } stii omvttfte i,;-' ü rtlttft 20-30 ^Í&tsi 
■- 0 J 5 ^& s 4 0 (drt, A-5 1 t m D£□ 

f—i±*.*nai7í t l íiiH-x I 'i^. ~ +i f~ =;!?3^. 1 n íü i-Wir. 1 r±Síi-i h n t=t 1 ,-r\ 


‘ 

I 


/ Filters 


I— Y Filter 


C:\Foreign Docs\J5±^®¥íxt (PS 52316 LS 52316 CL 52316 SO 000 FOO LE I ) 


ôseginfo 


Condifiõr^ y 
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Ferramentas Windows 


EnCase Forensic Edition 

Suporte a vários sistemas de arquivos como o JFS (IBM/AIX) 


File Edit View Tools Help 
j New Open ^ Save Print 2^*, Add Device 
b Cases A Text Styles 

-■ JBIB 


^Home Entries [^pBookmarks í.4 ► 
tjz- Home ch>° File Extents Q Permissic 4 ► 


^Search Q Logon Refresh ^ Close 
X _j Table _ | Report JJ" Gallery _^Timeline Disk 4^ Code 


3-C □ Entries 

*1X5.2 

-ono hd5 

-oni^hde 

-DO^>hd8 

Q3-DO^>/usr 

BHDO / var 
GÍ-DCl / tm P 
B3-CO O / home 
] (3 /opt 
] ^ /temp 



Name 

Description 

File Last Last 

Identifier Written Accessed 

□ 1 

,bash_history 

File 

37 07/19/04 05:07:17PM 12/07/04 09:11:46AM 

□ 2 

WebSM.pref 

File 

35 04/19/04 12:40:28PM 04/19/04 12:40:28PM 

□ 3 

.dtprofile 

File 

28 04/12/04 10:03:35AM 12/07/04 08:59:04AM 

□ * 

.shjiistory 

File 

40 12/07/04 09:11:46AM 12/07/04 09:11:46AM 

□ 5 

.TTauthority 

File 

39 11/19/04 10:50:45AM 11/19/04 10:50:54AM 

□ 6 

.wmrc 

File 

17 12/07/04 08:59:04AM 11/19/04 10:44:39AM 

□ 7 

.Xauthority 

File 

41 12/07/04 08:59:04AM 12/07/04 08:59:36AM 

□ 8 

smit.log 

File 

32 12/07/04 09:52:55AM 07/08/04 05:26:45PM 

□ 9 

smit.script 

File 

33 12/07/04 09:46:29AM 04/13/04 05:53:12PM 

□ 10 

bin 

File 

23 04/12/04 10:06:22AM 12/08/04 08:36:39AM 

□ 11 

unix 

File 

27 06/28/04 09:42:29AM 12/08/04 08:36:38AM y 

< 1 


i^lls 


' Text Hex J! 

0000@clio f PATH 
0011 exit 
0016 pwd 

0020 o d -xc gnu.uake-3.79.1.0.exe| mo r e 
0054 ls 

0057 ./gcc-3.3.2.0 . exe 
0075 ls -1 

0081 chmod 755 gcc-3. 3.2.0. exe 


_ | Report l>J Console j Lock 0/0 




n _ _ 


SGgibsr 


AIX\A . bash_history (PS 27200 LS 27200 CL 3400 SO 000 FO 0 LE 1) 


◄ ► 
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Ferramentas Windows 


EnCase Forensic Edition 

Visualização de E-mails (Mensagens e Anexos) 


File Edit View Tools Help 


Q New |_^IOpen j Save ^ Print Add Device \J^Search Q] Show Exduded QShowDeleted y( Dele te ^ViewEmail ^ Email/Internet Search ^ fjtToFilter ^jDisplay 


^Cases 

X 

_JTable _| Report Gallery ^Timeline Q Disk ■^✓Code 

■^1 Home 

fe - CD Bookmarks Search Hits 

▼ 

Name 

From 

To 

Subject 

Created 

Sent 

j Email ^ History ^ WebCache íjZ) 

□ i 

1-^ Re: If you lo ve your daughter 

billyray 150 @hotmail. com 

Chaser 1191 @aol. com 

Re: If you love your daughter 


06/03/02 11:47:39AN 

£3 Secure Storage if Keywords 

□ 2 

1-^1 Re: Your Daughters Safety Depends on This!!! 

billyray 150 @hotmail. com 

Chaser 1191 @aol. com 

Re: Your Daughters Safety Depends or 


06/03/02 10:33:32AN 

,.i Home 

Attachments 

□ 3 

1 -^ Delivery Status Notification (Failure) 

postmaster @guidancesoftwart Chaser 1191 @aol. com 

Delivery Status Notification (Failure) 


06/03/02 09:17:30AI^ 


□ 4 

i^l Delivery Status Notification (Failure) 

postmaster @guidancesoftwar< Chaser 119 l@aol. com 

Delivery Status Notification (Failure) 


06/03/02 09:17: SOAf* 

i-an 0 Parker's HDD 

□ 5 

l-il Returned mail: User unknown 

M AILER-D AEMON @aol. com 

Chaser 1191 @aol. com 

Returned mail: User unknown 


05/14/02 10:09:32Ar» 

à-*c 

Hotmail 

□ 6 

1 -^ Criminal Defense Lawyers - Califórnia Crimina.. 

billyray 150b ©netscape. net 

chaser 1191 @aol. com 

Criminal Defense Lawyers - Califórnia C 


05/23/02 07:09:3 lAh 

Kc 

Outlook Express 

□ 1 

i-^ Welcome to My Calendar 

AOLMyCalendar @aol. com 

chaser 1191 @aol. com 

Welcome to My Calendar 


04/18/02 01:11:51PN 

Clyde's HDD 

□ 8 

l-^ Re: Next féw days 

billyray 150 ©hotmail. com 

Chaser 1191 @aol. com 

Re: Next féw days 


04/03/02 08:35:03AT* 

è-*c 

Hotmail 

□ 9 

1-^ Re: you gotta see this one 

billyray 150 ©hotmail. com 

Chaser 1191 @aol. com 

Re: you gotta see this one 


04/03/02 08:29:34Ar^ 



Outlook Express 

□ 10 

1 -^ Re: TimeTest 

billyray 150 ©hotmail. com 

Chaser 1191 @aol. com 

Re: TimeTest 


04/03/02 08:28:39AÍ^ 

n-^a^nsKe 

□ 11 

i-^ Re: (no subject) 

billyray 150 ©hotmail. com 

Chaser 1191 @aol. com 

Re: (no subject) 


04/03/02 08:27:47AF^ 



□ 12 

l-^ Re: xdrive 

billyray 150 ©hotmail. com 

Chaser 1191 @aol. com 

Re: xdrive 


04/03/02 08:26:55AI^ 

urwLJ-^ -— 

□ 13 

i-^ Re: Instant Messaging 

billyray 150 ©hotmail. com 

Chaser 1191 @aol. com 

Re: Instant Messaging 


04/03/02 08:25:59Af^ 



iM Hotmail 

□ H 

1-^1 Re: http://www.xdrive.com/page.cfmPname... 

billyray 150 ©hotmail. com 

Chaser 1191 @aol. com 

Re: http://www.xdrive.com/page.cfm? 


04/03/02 08:25:10Af^ 



Outlook Express 

□ 15 

Qí Re: (no subject) 

billyray 150@hotmail.com 

Chaser 1191 @aol. com 

Re: (no subject) 


04/03/02 08:23:52AF^ 



]«AOL 

□ 16 

1^1 Delivery Status Notification (Failure) 

postmaster @guidancesoftwar< Chaser 1191 @aol. com 

Delivery Status Notification (Failure) 


06/03/02 09:17:30Af^ 


t»G@chaserll91 

□ 12 

l-^ Re: Instant Messaging 

billyray 150 @hotmail. com 

Chaser 119 l@aol. com 

Re: Instant Messaging 


04/03/02 08:25:59Af> 



~m\ | Ir^i Incominq/Saved Mail 

□ 18 

í~il Re: xdrive 

billyray 1 50 @hotmail. com 

Chaser 119 1 @aol. com 

Re: xdrive 


04/03/02 08:26:55Af^ 



g> | Q Mail Waibng To Be Sent 

□ 19 

1-^1 Delivery Status Notification (Failure) 

postmaster @guidancesoftwar< Chaser 1191 @aol. com 

Delivery Status Notification (Failure) 


06/03/02 09:17:30AI^ 



— | Q Mail You ve Sent 

□ 20 

l-^ Re: Your Daughters Safety Depends on This! !! 

billyray 150 @hotmail. com 

Chaser 1191 @aol. com 

Re: Your Daughters Safety Depends or 


06/03/02 10:33:32AN 



-#OÕ Mai1 

□ 21 

\CK Welcome to My Calendar 

AOLMyCalendar @aol. com 

chaser 1 19 1 @aol. com 

Welcome to My Calendar 


04/18/02 01:11:5 IPr* 



□ 22 

1-^1 Re: Next féw days 

billyray 1 50 @hotmail. com 

Chaser 1191 @aol. com 

Re: Next féw days 


04/03/02 08:35:03AI^ 













-m\ llp^Incoming/Saved Mail 

U 23 

a Re: you gotta see this one 

billyray 1 50 @hotmail. com 

Chaser 1191 @aol. com 

Re: you gotta see this one 


04/03/02 08:29:34Af^ 



-anÜMai' YouVe Sent 

□ 24 

l-^ Re: TimeTest 

billyray 1 50 @hotmail. com 

Chaser 1191 @aol. com 

Re: TimeTest 


04/03/02 08:28:39Ar> 



L*oei Mai| 



1 *H II . f ^ n| 1, ,;| , ,, p . 

iiii.iin dA i . 






< 


1 




> 


El Text □ Hex :: 

_| Report Console FQ Lock gf 12932/62665 


^ EnScripts J 7 Filters Conditions Queries 

Attachments: 

NO 

A 

3 -[{= Conditions 

L(J= Email Filter Condition 

From: 

billyrayl 50@hotmail.com 


L[€=To Filter 

To: 

Chaserl 191 @aol.com 



Subject: 

Re: xdrive 




_ Q Case lVHunter X 

seginro 


,L_J Case lVHunter XPVd^rogram Files\America Online 7.0\prganizeVíiaserll91\AOL Personal Filing Cabinet\Chaserll9lV*1ail\Incoming/Saved Mail\Re: xdrive (chaserll91: PS 29323 LS 29 323 CL 29323 SO 000 FO 0 LE 0) 
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Ferramentas Windows 

EnCase Forensic Edition 

Visualização de Cabeçalhos de E-mails 


File Edit 


View Tools Help 

j Open J Save Print Add Device Search £ J Logon Refresh 


Cases A Text Styles X 

_| Table _| Report JJ* Gallery ^ Timeline Q Disk «í^jCode 

Search Hits A) Email History . i ► 

Name From To Subject Sent Header 

□ 1 j ^ Are you being naug... Santa Claus wmfiske@adelphia.net Are you being naughty 10/25/03 12:31:30AM Return-Path: 


□ 2 j Got your message Cyber Warfare wmfiske@adelphia.net Got your message 10/08/03 02:26:57PM Return-Path: ■ 

B-CQ bà Emal1 A 

à-DO P5T Volume 

Ó-DD É3 Outlook 

□ 3 | Hi Alice Fiske wmfiske@adelphia.net Hi 10/24/03 10:43:12PM Return-Path:- 

1-1 A 1 T> M. .k!_kLi._1_1 Cnxflucv» ■ ■ t nnk MmKm t-kie Ifl h/l /fl*} Ifl./IOrOÍITM H nh .vn IT-skk. ' 

< > 

: [J] Text Q] Hex _| Report Console C Is Q Lock 0/17797 ► 


From: Santa Claus 

To: wmfiske@adelphia.net 

Subject: Are you being naughty? 

Sent: 10/25/03 12:31:30AM 

Header: Return-Path: <santa. daus@cyberwarfare.net> 

Received: from web102.bizmail.yahoo.com ([216.136.172.122]) 
by mta5.adelphia.net 

(InterMail vM.5.01.06.05 201-253-122-130-105-20030824) with SMTP 
id <200310250731 34.HTZE4574.mta5.adelphia.net@web102.bizmail.yahoo.com> 
for <wmfiske@adelphia.net>; Sat, 25 Oct 2003 03:31:34 -0400 
Message-ID: <20031025073130.51 395.qmail@web102.bizmail.yahoo.com> 

Received: from [4.8.23.150] byweb102.bizmail.yahoo.com via HTTP; Sat, 25 Oct 2003 00:31:30 PDT 
Date: Sat, 25 Oct 2003 00:31:30 -0700 (PDT) 

From: Santa Claus <santa.claus@cyberwarfare.net> 

Subject: Are you being naughty? 

To: wmfiske@adelphia.net 
MIME-Version: 1.0 

Content-Type: text/plain; charset=us-ascii 


segn 


Folder: 


Inbox 


V < > 


_j Fiske\Fiske\C\Documents and 5ettings\William\local Settings\Application Data\Microsoft\Outlook\Outlook.pst\PST Volume\Root folder\Top of P..PS 3263 LS 3263 CL 3263 SO 000 FO 0 LE 0) 
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d 


IFttCfimwjsiOjííiíS Windows 

EnCase Forensic Edition 

Visualização Detalhada de Anexos de E-mails 


segir 


j New $ Open Save ^ Print Add Device Search Logon ^ Refresh 

Cases a A Text Styles X 

_| Table _| Report JJ* Gallery ^ Timeline QÇt Disk Code 

Search Hits Email ^3 History i 4 ► 


Name _T ie _ . Fi * e Signature Description _ } s . . 

Ext Type Category ^ ^ Deleted 

_-i Home õ Attachments 

1 

Ü 7yrssex.jpg jpg JPEG Picture File 


2 

3 

Ú 8yroldwithmom.jpg jpg JPEG Picture File 

Õ 12yroldwithlittlesist... jpg JPEG Picture File 


< 1 > 


|3T| Text |T] Hex Picture _| Report [£] Console ^ □ Lock □ 0/15931 


Name: 

File Ext: 

File Type: 

File Category: 
Descri ption: 
Logical Size: 
Physical Size: 
Starting Extent: 
Physical Location: 
Physical Sector: 
Evidence File: 

Full Path: 


7yrssex.jpg 

jpg 

JPEG 

Picture 

File 

38,061 

38,061 

OAOL Personal Filing Cabinet-B216810 

216,810 

216,810 

jhollister805 

Internet and Email\Active\Documents and Settings\AII UsersVAppIication 
Data\AOL\C_America Online 9.0\backup\jhollister805\AOL Personal Filing 
Cabinet\jhollister805\Mail\lncoming/Saved Mail\Fwd: Free Gift\7yrssex.jpg 


4 ► 

P 3 



v <> 

PS 216810 LS 216810 CL 216810 SC 


Internet\Internet and Email\Active\Documents and Settings\All Users\Application Data\AOL\C_America Online 9.0\backup\jhollister805\AOL Personal Filing 

Perícia Forense Computacional:: Ricardo Kléber (www.ricardokleber.com.br) 






























Ferramentas Windows 

EnCase Forensic Edition 

Histórico (Internet History) com suporte para Internet 
Explorer, Mozilla, Opera e Macintosh/Safari. 

File Edit View Tools Help 

New Open J 5ave ^ Print '-‘ g . Add Device 2}^ Search Logon g Refresh Q Show Excluded Q Show Deleted y Delete ^ View History 
Email/Internet Search 
Cases A Text Styles 

Ji al-l 


X _| Table _j Report JS" Gallery ^pTimeline Q Disk Code 


History ^ WebCache QDi<> 


à-DG ^History 

1^1—l~>l I ir^ Internet and Email 
(A— oQ ír^i Internet Explorer 
—qQ administrator 

—CQ Ê3 Redirect 

—OO t_I) P c user 
—r>| | secure user 

— 13 ) | ir=*i Simple User PW 123 
t^-DO É3 Mozilla 

—DO PC User 

—DO Secure User 

Ó-DO O Opera 



Name 

URL Host 

User 

Visit 

Count 

First 

Date 

A 

O 16 

0 

http://start.mozilla.org/firefox?cli start.mozilla.org 

PC User 

6 

02/04/05 04:07:42PM 


□ 17 

0 

http: //webmail. netscape. com/_cc webmail. netscape. com 

PC User 

2 

02/04/05 04:08:28PM 


O 18 

0 

http://webmail.netscape.com/msç webmail.netscape.com 

PC User 

2 

02/04/05 04:12:58PM 


O 19 

<0 

http: //webmail. netscape. com/ms< webmail. netscape. com 

PC User 

2 

02/04/05 04:08:47PM 


20 

0 

http: //webmail. netscape. com/con webmail. netscape. com 

PC User 

2 

02/04/05 04:13:25PM 


O 21 

0 

http: //webmail. netscape. com/con webmail. netscape. com 

PC User 

8 

02/04/05 04:16:42PM 


O 22 

0 

http: //webmail. netscape. com/ms< webmail. netscape. com 

PC User 

2 

02/04/05 04:12:30PM 


O 23 

0 

http: //webmail. netscape. com/msç webmail. netscape. com 

PC User 

2 

02/04/05 04:10:58PM 


24 

0 

http: //webmail. netscape. com/msç webmail. netscape. com 

PC User 

8 

02/04/05 04:14:08PM 


O 25 

0 

http: //webmail. netscape. com/_cc webmail. netscape. com 

PC User 

2 

02/04/05 04:08:28PM 

V 

< 





Í>|| 



OI Text _| Hex 


Report J Console 


0/15931 



URL: 


Host: 


User: 


Visit Count: 


First Date: 


History Path 


http://webmail.netscape.com/msgview.adp?folder=SVV5ib3g=8<uid=223796 
webmail.netscape.com 
PC User 
2 

02/04/05 04:12:58PM 

Internet and Email\Active\Documents and Settings\PC User\Application Data\Mozilla\Firefox\ 
Profi Ies\03fh4udv.default\hi story.dat 


► 


i= 


< > 


segiL 


Internet\Internet and Email\Active\Documents and Settings\PC User\Application Data\Mozilla\Fi.. .\history.dat (PS 1919634 LS 1919571 CL 479892 SO 358 FO 5990 LE 0) 


MU 
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Ferramentas Windows 

EnCase Forensic Edition 

Web Cache com suporte para Internet Explorer, Mozilla, Opera e 
Macintosh/Safari. 

File Edit View Tools Help 


Cases Keywords x 

_j Table _| Report JJ* Gallery Timeline O Disk Code 

3 History y WebCache ; 4 » 


URL 

Host 

Cached 

Date 

Cache y*. 
Path 

5HCO WebCache 

là-DO IO Fiske 

□ 718 | 

http: //geocities. yahoo 

geocities. yahoo. com 

10/08/03 09:12:26AM 

Fiske\C\Document.. .\uploa 

□ 719 

http ://geocities. yahoo 

geocities. yahoo. com 

10/08/03 09:09:48AM 

Fiske\C\Document.. .\uploa 

1—D| | if— 1 1nternet Explorer 

□ 720 

http: //geocities. yahoo 

geocities. yahoo. com 

10/08/03 08:38:03AM 

Fiske\C\Documents and Se 

□ 721 

http://geocities. yahoo 

geocities.yahoo.com 

10/08/03 08:54:03AM Fiske\C\Documents and Se v 


< | 


Ml 


Ô lIVIk? 

s g Q i rí- 


|5~| Text _] Hex JJ 

_| Report _>J Console § 0/17729 

URL: 

A 

http://geociti es. yahoo. com/fi lernanager?directory=&dispopts= 

Host: 

geocities.yahoo.com 

Cached Date: 

10/08/03 08:54:03AM 

Cache Path: 

Fiske\C\Documents and Settings\William\Local Settings\Temporary Internet File? 
\NZI01LD1\filemanagerf21 

Yahoo! GeoCities 


Yahoo! rhttD://www.vahoo.com/l - Account Info rhttp://edit. vahoo.com/confia/eval profile?.src=qeo8<.i 

Help rhttp://help.vahoo.com/help/us/aeo/l - Sian Out 

[http://logi n. yahoo. com/config/login?logout=18<.src=geo8<.intl=...] 

IMG rOl fhttp://rd.vahoo.com/M=264565.4001263.5215697.280519/D=qeocit...l 

< 

>1 


i t 


Fiske\Fiskje\C\Documents and Settings\William\Local 5ettings\Temporary Inter.. .\filemanager[2] (PS 445487 LS 445424 CL 55678 50 000 FO 0 LE 0) 

Perícia Forense Computacional:: Ricardo Kléber (www.ricardokieber.com.br) 













































Ferramentas Windows 





• FTK :: Forensic ToolKit 

* Desenvolvido pela Access Data 

http://www.accessdata.com 

* Concorrente do EnCase 

* Mais fácil de operar... Menos Recursos 

* Comercial... Porém, mais barato 

* FTK Mobile Phone Examiner 




AccessData 
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Ferramentas Windows 


• FTK :: Forensic ToolKit 


New Case 



AccessData's 
Forensic Toolkit®-FTK™ 

The Complete Analysis Tool 

Wizard for Creating a New Case 


Investigator Name: 

Case Information 


Golden G. Richard I 


Case Number: 
Case Name: 
Case Path: 


Case Description: 


arch\tutorials\acsac2006\D ARYL E VID E N CE \FT K 


Browse... 

C:\ResearchVutorials\acsac200S\DARYL_EVIDENCE\FTK\DarylPo 


ôseginfo 


Next > 


Cancel 
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Ferramentas Windows 



• FTK :: Forensic ToolKit 


seginfo 
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Ferramentas Windows 


• FTK :: Forensic ToolKit 
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Ferramentas Windows 


• FTK :: Forensic ToolKit 


Evidence Processing Options 


ôseginfo 


Processes to Perform 


Evidence is added to a case in several steps. Some of the processes are always performed, while others are optional, 
depending on your needs and timeAesource constraints. 


0ND5 Hashj 

0 SHA1 Hash 
0 KFF Lookup 

0 Entropy T est 

0 Full Text Index 

0 Store Thumbnails 

Decrypt EFS Files 

0 File Listing 
Database 

0 HTML File Listing 
I I Data Carve 


An MD5 hash is a 16 byte value generated based upon a file's content. It is used to uniquely 
identify files. Hashes can be used to verify a file's integrity, or to identify duplicate files. MD5 
hashes are used by the KFF to identify known files. 

A SHA1 hash is a 20 byte value. The SHA1 hashing algorithm is newer than MD5, but is not 
yet as widely used. The KFF library can contain SHA1 hashes, but generally doesn't. 

KFF (Known File Filter) is a utility that compares file hashes against a database of hashes from 
known files. The purpose of KFF is to eliminate files known to be unimportant, or to alert the 
investigator to known illicit or dangerous files. It also checks for duplicate files. 

For unknown file types, an entropy test is used to determine whether the file's data is 
compressed or encrypted. Such files contain no plain text and will not be indexed. 

Unnecessary indexing of such files can waste large amounts of time and resources. 

The Forensic Toolkit includes a very powerful search engine, dtSearch, which enables the 
investigator to do instantaneous searching of textual data. In order to take advantage of this 
search feature, the data must first be indexed. 

Create and store thumbnails for all graphics in the case. This option speeds up browsing 
through the Graphics view at the expense of consuming more space in the case folder. 
Automatically locate and attempt to decrypt EFS encrypted files found on NTFS partitions 
within the case. (Requires AccessData Password Recovery Toolkit 5.20 or newer) 

Create a Microsoft Access (Jet) database containing a list of all files in the case. The attributes 
included are based on the Default File List Column Setting. This database can be recreated 
with custom column settings in Copy->Special. 

Create an HTML version of the File Listing. 

Automatically find specific file types embedded in other files and from 
free space. Retrieve results using Data Carving Option on T ools Menu. 


Carving Options 


< Back 


Next > 


Cancel 
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Ferramentas Windows 


• FTK :: Forensic ToolKit 


seginfo 


Refine Case - Default 


Refine Case - Default 


In order (o save time and resources, and/or to elirminate irrelevant data, you may choose to exclude certain kinds of data 
from the case. Hete, you can choose default inclusion/exclusion settings that will apply to each evidence item that gets 
added to the case. To exclude data, make any changes to the settings below. Note: any items that get excluded will not 
appear anywhete in the case, and will be inaccessible. 


Include All Items 


Qptimal Settings 


Email Emphasis 


Text Emphasis 


Graphics Emphasis 


Unconditionally Add 

0 File Slack (data beyond the end of the logical file but within the area allocated to that file by the file system) 

0 Free Space (areas in the file system not currently allocated to any file, but possibly containing deleted file data) 

0 KFF Ignorable Files (files found by KFF to be forensically unimportant, i.e , OS system files, known applications, etc.) 
I I Extract files from KFF ignorable containers 

Conditionally Add 

Add other items to the case only if they satisfy BGTH the file status and the file type v criteria 


File Status Criteria 

D eletion S tatus: E ncryption S tatus: 

Deleted Encrypted 

O Not deleted O Not encrypted 

©Either ® Either 


Email Status: 

From email 
O Not from email 
(•) Either 


0 Duplicate Files 


0 OLE Streams 


File Type Criteria 

0 Documents 
0 Spreadsheets 
0 Databases 
0 Graphics 
0 Email msgs 


0 Executables 
0 Archives 
0 Folders 
0 Other Known 
0 Unknown 


< Back 


Next > 


Cancel 
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Ferramentas Windows 


• FTK :: Forensic ToolKit 


Add Evidence to Case 



Add Evidence 


Any number of evidence iterns can be added to the case. Thete are several types of evidence items: 

Acquired image of drive: Several formats supported; can be an image of a logical or physical drive 
Local drive: Can be a logical or physical drive 

Folder: Adds all files in the specified folder, including contents of subfolders 

Individual File: Adds a single file. NQTE: Disk image files should be added as acquired images. 

The default refinement options, set previously, can be overridden independently for each evidence item, and additional 
types of refinements can also be made. These refinements can include the exclusion of date/size ranges, as well as specific 
folders. To make these further refinements, highlight an evidence item in the list and press Refine Evidence • Advanced... 



^seginfo 


< Back 


Next > 


Cancel 
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Ferramentas Windows 


• FTK :: Forensic ToolKit 



Add Evídence to Case 


Type of Evidence to Add to Case 
Ácquired Image of Drive 
O Local Drive 
O Contents of a Folder 
O Individual File 


Continue... 
> . 


Cancel 


ôseginfo 
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Ferramentas Windows 


• FTK 



Forensic ToolKit 


Evidence Information 


Evidence Location: 


P: \6gb-fixed-chkdsk. dd 


Evidence D is play Name: 


Ggb-fiwed-chkdsl 


Evidence Identification Name/Number: 


Comment: 


Local Evidence TimeZone: 


Choose time zone for evidence . . . 


□ K 


Cancel 
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Ferramentas Windows 


• FTK :: Forensic ToolKit 


Case Summary 


New Case Setup is now Complete 

Case Settings 

Case directory where the file database, index, and other case-specific files will be stored: 


C:\Research\tutorials\acsac2006\DARYL E VID E N CE \FT K\D ar 


iJliüJilIU 


Number of Evidence Items: 1 

Processes fo be Performed: 


File Extraction: 

Yes 

File Identification: 

Yes 

MD5 Hash: 

Yes 

SHA1 Hash: 

Yes 

KFF Lookup: 

Yes 

Entropy Test: 

Yes 

Full Text Index: 

Yes 

Store Thumbnails: 

Yes 

Decrypt EFS Files: 

N/A 

File Listing Database: 

Yes 

File Listing HTML: 

No 

Data Carving: 

No 


Remember thaf although each of these processes 
adds fo the initial Processing time. they each play 
an important role in the investigation process. 

Processes that are not performed initially can be 
initiated at a later point in the investigation except 
the HTML file listing. Additional evidence can also 
be added later. 


Press "Back" if you wish to review or change your settings 

Press "Finish" to accept the current settings and start Processing the evidence 


^seginfo 
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Ferramentas Windows 


• FTK :: Forensic ToolKit 


Processing ules 




Current Evidence Item: 


P: \6gb-f ixed-chkdsk. dd 


Current File Item: 


6gb-fixed-chkdsk\N □ N AM E -N T FS \$M FT 

Current File Item Status 
Action: 

File Type: 

Item Size: 


Hashing and Entropy Test 


Unknown File Type 


55 .. 065..600 


Progreiií 


34 . 611.200 


T otal Process S tatus 
Elapsed Time: 

Total Items Examined: 

Total Items Added: 

Total Items Indexed: 


0 . 00 : 00:04 


0 


0 


Log the case/systern status every 10 minutes Log extended information 

segimu - 


Cancel 
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Ferramentas Windows 


• FTK :: Forensic ToolKit 


t AccessData 


FTK version 1.62.1 build 06.07.27 ~ C:\Research\tutorials\acsac2006\DARYL_EVIDENCE\F... £3®® 


seginf 


File Edit View Too Is Help 

OverView 


Explore 


Graphics 


1 


(Evidence Items: 

_ Ll 

I KFF Alert Files: 

18 1 

| Documents: 

5476 | 



| Bookmarked Items: 

°l 

(Spreadsheets: 

192 | 

(Total File Items: 

918331 

[ Bad Extension: 

1806 1 

(Databases: 

71 | 

| Checked Items: 

°] 

(Encrypted Files: 

33 1 

(Graphics: 

11653| 

| Unchecked Items: 

91833 | 

[ From E-mail: 

8740 | 

| E-mail Messages: 

4158 | 

| Flagged Thumbnails 

: 1| 

[ Deleted Files: 

21825 1 

[ Executables: 

8701 1 

(Other Thumbnails: 

11652| 

(From Recycle Bin: 

4| 

| Archives: 

1722 | 

| Filtered In: 

91833 1 

| Duplicate Items: 

13816 1 

| Folders: 

1985 1 

| Filtered Out: 

_oj 

[ OLE Subitems: 

11230 | 

[ Slack/Free Space: 

15192 | 

[ Unfiltered ] I Filtered | 

(Flagged Ignore: 

ol 

| Other Known Type: 

7466 | 

[ All Items ] | Actual Files | 

| KFF Ignorable: 

16639 1 

| Unknown Type: 

352171 


~ ^ èií 8@ o] e 


[ Data Carved Files: 0~1 


Sorry 

A viewer for this format is not currently available. 


1 8 BB <éfai Ü 

off Unfiltered v (jjj All Columns 

V DTZ 

▼ File Name 

Full Path 


n **~1 aaw.exe 

6gb-fixed-chkdsk\N0NAME-NTFS\My Download Files\aaw.exe 


□ H adot[ 1 ].gif 

□ gjadotfl ] gif 

6gb-fixed-chkdsk\N 0 N AM E -N T FS \[orphan]\adot[1 ]. gif 
6gb-fixed-chkdsk\N 0 NAM E -N T FS \[orphan]\adot[1 ]. gif 



□ g] artists[1].jpg 

□ BcrvRL8CAAE7[1].gif 

□ g) EA619E11E 004CC999CB 447A.. 

□ JB embas$y[1 ].gif 

□ £] B 305C28E C09D F4268D 8B 74.. 

□ || globalSiteJ 89x20(1]. gif 
n header4_06[1 ].gif 

n i httpget.exe 

□ H imgArwrt[1 ].gif 

n Sá nvb_btn_res[1 ].gif 

□ 3 ping.exe 

□ Q transparent.gif 

□ H transparent[1 ].gif 

□ |g|ts[1].gif 

□ tí\ upx.txt 


6gb-fixed-chkdsk\N G N AM E -N T FS \[orphan]\artists[1 ]. jpg 

6gb-fixed-chkdsk\N0NAME-NTFS\Document$ and Settings\Admini$trator\Local Settings\Temporary Internei Files\Content.lE5\0P07SJCN\crvRt_8CAAE7[1 ].gif 
6gb-f ixed-chkdsk\N □ N AM E -N T FS \[orphan]\E A619E11E004CC999CB447A6709D2871 

6gb-fixed-chkdsk\N 0 NAM E -N T FS \[orphan]\emba$sy[1 ]. gif 

6gb-fixed-chkd$k\N 0 N AM E -N T FS \[orphan]\FB 305C28E C09D F42G8D 8B 7444C3FF5E A 
6gb-fixed-chkd$k\N 0 NAM E -N T FS \[orphan]\globalS ite_189x20(1 ]. gif 
6gb-fixed-chkd$k\N 0 N AM E -N T FS \[orphan]\header4_06[1 ]. gif 

6gb-f ixed-chkd$k\N 0 N AM E -N T FS M D S 3\S criptsSS crex v01 2\screx012. zip> > httpget. exe 

6gb-fixed-chkd$k\N0NAME-NTFS\Document$ and Settings\Administrator\Local SettingsYTemporary Internei File$\Content.lE5\2TKREDY1 \imgArwrt[1 J.gíf 
6gb-f ixed-chkdsk\N □ NAM E -N T FS \[orphan]\nvb_btn_res[1 ]. gif 
6gb-fixed-chkd$k\N ü NAM E -N T FS \T D S 3\S cripts\S crex v01 2\screx012. zip> > ping. exe 
6gb-fixed-chkdsk\N0NAME-NTFS\Documents and Settings\Administrator\Local SettingsSAppIication Data\Microsoft\Outlook\trans.p$t>>Personal Folders>>Top of Perso 

6gb-fixed-chkd$k\N 0 NAM E -N T FS \[orphan]\transparent[1 ]. gif 

6gb-fixed-chkdsk\N0NAME-NTFS\Documents and Settings\Administrator\Local SettingsMemporary Internet Files\Content.lE5\EZQVE5A\Ats[1 ].gif 
6gb-fixed-chkd$k\N ü NAM E -N T FS \T D S 3\E xt. U npk\upx. txt 


0 Checked Total 


6gb-fixed-chkdsk UONAME-NTFSWIy Download Filestaaw.exe 
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Ferramentas Windows 


• FTK :: Forensic ToolKit 


A AccessData FTK version 1.62.1 build 06.07.27 - C:\Research\tutorials\acsac2006\DARYL_EVIDENCE\FTK\DarylPoppins\ 




Rle Edit View lools Help 


Display Erroí 




Display Error 

Display Error 

Display Error 

a, 

L&* 




1 



L. 


$130 ® $130 ® $130 ® $130 ® $130 ® $130 ® $130 ® ,I-G]VX3W~1 0) ,ZGG[09A_5S ® -YJC.L8DGK3 ® 00.0[1 ] gif 0i 

00.0[1 ].gif 0i 00.5[1].gi1 ® 000000[1].gif 0> 000010a9.ppt ® 008_city_cor. ® 008_crty_cor. ® 

r 


r 

i 

1 

m 

«1 

* 

O 

► 

==- 


—-• 

4> 



— 


c*y_corr® 008_city_left[ ® 008_city_rigft ® 01.0[1].gif 0) 01.5[1].gif ® 01.jpg ® 01 jpg ® 01060816260® 01 _001 _Helpf ® 01 _002_Helpf ® 01 _003_Help( ® 01 _004_Help( ® 01 _005_Clickl ® 01 _006_Clickl ® 01 _007_Copy 0 



01 _021 _Helpl ® 01 _022_Helpl ® 01 _023JJnkV 0 




















































































































































































































































































































































































































Ferramentas Windows 


• FTK :: Forensic ToolKit 


G AeeessData FTK vension 1.62.1 build 06.07.27 - C: 


Fite Vew TqoIs Help 

‘Õvffview" • Expire 


Graphics 


E-Wlal 


Search 


EvricnCÈ fiwTi4. 

1 

;KFF AJftl FiteÊ. 

1B 

| Documeftfs: 

5476 

BoDfcmarked Berns' 0 

[ Sfte^JshMlí; 

102 

| Tcrtal file ftems 

91633 1 

[0ad EidenisiDn. 

leoB 

j Dcrtatoasfrs, 

71 

| CTneQhed ftems: 

&J 

| Encrypled Files' 

33. 

[Crapnics- 

11353 

I UhDheched Itcrnc: 

91633 | 

fFrorn E-moil: 

874D 

[E-moil Mess-ngca, 

■115B 

| Fiaggad ThumLraJs 

1 

Deieled Files: 

21325 

[ÊKecUafres 

3701 

I Othcr ThumDnails. 

11652 | 

[FiOríi RccvcJe Din. 

4 

j Archives, 

1722 

Fítered |n; 

91333 | 

| Ojpbç^fle Hems 

13315 

[f oWers 

1965 

Fdtered Qut. 

0 

[ OLE SLtjtems: 

1123D 

| SlacIt^FrM Space. 

15192 

Liniihe- en Fiflered 

Fiaggad ignore 

0 

Oíher Kngwn Type 

7456 

AJI Hems Adlual Files 

KFF Ig-pDrdde. 

16639 

| Ünfcnown íype. 

35217 



Dert3 Cerved Files 

0 
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Ferramentas Un Ix/Unux 
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Ferramentas Un Ix/Linux 

Ferramentas Nativas 


• strings 

- Extrai mensagens de texto (strings) de arquivos; 

I - Pode ser utilizada em arquivos comuns ou dispositivos 

• grep 

1 - Procura por padrões em arquivos; 

I - Utilizado como filtro por vários comandos no Linux. 

• file 

- Identifica o tipo de arquivo (independente de extensões) 

ôseginfo 
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Ferramentas Un jx/Unux 

Aquisição (Coleta de Evidências) 

• Coleta de informações voláteis 


- Conexões TCP 

# netstat -natp | tee conexoes.tcp 

- Conexões UDP 

# netstat -naup | tee conexoes.udp 

- Processos em Execução 

# ps aux | tee processos 
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Ferramentas Un ix/Unux 

Aquisição (Coleta de Evidências) 

• Coleta de informações voláteis 

- Tráfego para determinado endereço: 

# tcpdump -n -vv -X -s 1518 host <endereço> -w trafego.dump 


O tráfego pode ser remontado posteriormente 
utilizando-se um analisador de pacotes como o Wireshark 


- Arquivos Abertos e Relacionamentos com Processos 
# Isof | tee arquivos 
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Ferramentas Un íx/Uniix 

Aquisição (Coleta de Evidências) 

• Coleta de informações voláteis 

- Informações sobre porta específica (TCP) 

# fuser -v <porta>/tcp > porta.tcp 

- Informações sobre porta específica (UDP) 

# fuser -v <porta>/udp > porta.udp 

- Módulos Ativos 

# Ismod | tee -a modulos.info 

# cat /proc/modules | tee -a modulos.info 


f^seginfo 
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Ferramentas Un ix/Unux 

Aquisição (Coleta de Evidências) 
Perícia com Estacão Pericial Remota 

Uso do Netcat (nc) 

• Envio de informações para a máquina remota: 

# cat <arquivo> | nc <máquina remota> <porta remota> 

• Recebimento de dados da máquina periciada: 

# nc —1 —p <porta> | tee <arquivo> 


ôseginfo 
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Ferramentas Un ix/LÜnux 

Aquisição (Coleta de Evidências) 


Imaaem física e imaaem lóaica 

•Um dispositivo de armazenamento ou mídia (HD, CD, pendrive...) possui uma 
tabela interna que indica como o dispositivo está dividido nas partições; 

•CDs e pendrives, na maioria das vezes, possuem apenas uma partição; 

•HDs, porém, comumente são particionados de forma a organizar melhor o 
armazenamento de arquivos. 

•Uma imagem lógica é uma imagem forense de uma partição apenas. Uma 
imagem física contém todas as partições do dispositivo mais a tabela de 
partições. Por exemplo, se temos um HD com 3 partições em uma máquina 
com Linux, carregando esse HD como um dispositivo (device) hda, teríamos: 


Imagem física => /dev/hda 



Imagem lógica => /dev/hdal, 

seginfo 


/dev/hda2 ou /dev/hda3 
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Ferramentas Un ix/Unux 

Aquisição (Coleta de Evidências) 
Geração de Imaaem Pericial 

Uso do dd 


• Geração da Imagem: 

# dd if=/dev/hdal of=imagem.dd 

• Montando uma imagem: 

# mount <imagem> <destino> -o ro ; loop 
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Ferramentas Un ix/Unux 

Aquisição (Coleta de Evidências) 
Geração de Imagem Pericial Remotamente 

Uso do dd + ssh 

• Gerando uma Imagem de forma segura (criptografia): 

# dd if=/dev/hdb2 | ssh usuario@estacaopericial 
dd of=imagem.img 


ôseginfo 
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Ferramentas Un 1x/Linux 

Identificação (Assinatura de 
m Arquivos) 

Identificação da Imagem Pericial 

• Verificando Imagem 
(integridade): 


# dd if=/dev/hdal | md5sum -b 
deve ser igual a 

# dd if=imagem.dd | md5sum -b 


Após a geração de uma imagem pericial deve-se sempre 
aplicar o hash md5 (ou shal) e anotar a “assinatura digitar 9 . 
Isso pode ser feito com os comandos mdõsum / shalsum 


ôseginfo 
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Ferramentas Un Ix/LÜnux 


I Aquisição (Coleta de Evidências) 

■' Informações Complementares 

•Apesar de ser a maneira mais simples, o utilitário dd não oferece algumas 
funcionalidades importantes; 

• O dd_rescue serve para realizar aquisições de mídias com problemas (em 
algumas situaçõe o dd é interrompido ao encontrar erros na mídia); 

•O sdd realiza aquisições mais rápido do que o dd, quando o tamanho de 
bloco dos devices de origem e destino são diferentes; 

•O dcfldd possui um log de toda a operação, faz divisão da imagem (split) e 
permite verificar diretamente a integridade da operação através de vários 
algoritmos de hash; 

• O rdd foi desenvolvido pelo Netherlands Forensic Institute (NFI) e sua 
documentação indica que ele é bem mais robusto em relação a tratamento de 

Ô erros, divisão de arquivos (split) e hash. 

seginfo 
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Ferramentas Un Ix/Unux 

Aquisição (Coleta de Evidências) 
Informações Complementares 


•As interfaces gráficas são, em sua maioria, máscaras para as ferramentas 
em linha de comando. O usuário indica as opções da aquisição, que são 
passadas para um dos utilitários em linha de comando. 



•O Adepto, oferece log sobre toda a operação e a possibilidade de se escolher 
entre usar o dcfldd (formato raw) ou ainda o AFF, para o formato Advanced 
Forensic Format. Na interface também indicamos qual algoritmo de hash será 
usado para validar a operação e se queremos dividir o arquivo da imagem em 
porções menores (split). Ele permite também fazer a aquisição tendo como 
destino um dispositivo montado (local), um dispositivo SMB (Samba ou mesmo 
um compartilhamento Windows) ou então via netcat. 

•O Air, presente no Flelix, não é tão completo quanto o Adepto em termos de 
log, e oferece captar a imagem através do dd ou do dcfldd. É possível 
determinar o algoritmo de hash (md5 e SFIA-1) e enviar a imagem capturada 
atfjpjés da rede com netcat ou cryptcat (netcat encriptado). 
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Ferramentas Un ix/Unux 

Avaliação (Análise “Post-Mortem") 

Origem 

• 6 de agosto de 1999; 

• Dan Farmer and Wietse Venema; 

• IBM T.J. Watson Research Center; 

• Apresentaram a palestra: 

“UNIX Computer Forensics Analysis 

• Primeira ferramenta - The Coroner's Toolkit (TCT) 



ôseginfo 
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Ferramentas Uníjx/Unux 

Avaliação (Análise "Post-Mortem") 


TCT :: The Coronéis Toolkit 

• Coleção de Scripts Perl 

• Ferramentas mais conhecidas: 

• grave-robber: captura de informações 

• ils / mactime: informações sobre acesso a arquivos 

• findkey: recuperação de chaves criptográficas 

• unrm / lazarus: recuperação de arquivos apagados 
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Ferramentas Un ix/Unux 

Avaliação (Análise "Post-Mortem") 

TCT :: The Coronéis Toolkit 

• Uso do TCT em recuperação de dados apagados: 

• unrm + lazarus 

* Visualização via browser 

• Identificação de tipo (provável) de dado recuperado 
baseado em legenda 



Letra 

Descrição 


Letra 

Descrição 

A 

Arquivo 


Q 

Mailq 

c 

Código C 


R 

Removido 

E 

ELF 


S 

LI SP 

F 

Sniffers 


T 

Texto 

H 

HTML 


U 

Uuenc oded 

I 

Imagem 


W 

Arquivo passwd 

L 

Logs 


X 

Exe 

M 

Mail 


Z 

Comprimido 

0 

NuUL 


. 

Binário 

P 

Pr o gr amas 


1 

Som 
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Ferramentas Un Ix/LÜnux 

Avaliação (Análise "Post-Mortem") 


TCT :: The Coroner's Toolkit 


• Coleta de dados (varredura de áreas “apagadas”) 

unrm /dev/hdbl » imagem.out 

• Geração de código HTML para análise 

lazarus -h -D . -H . -w . imagem.out 


-h cria um documento HTML (visualizado por qualquer browser); 

-D <dir> direciona a escrita dos blocos para um diretório especifico; 

-H <dir> direciona os principais arquivos HTML para um diretório especifico; 
-w <dir> direciona outras saídas HTML para um diretório específico. 


fNeginfo 
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Ferramentas Unax/Unux 

Avaliação (Análise "Post-Mortem") 


TCT :: The Coroner's Toolkit 


segn 


3 Analysis of /rk/imagem.out - Microsoft Internet Explorer 


-|n| x 


Arquivo Editar Exibir Favoritos Ferramentas Ajuda 


Q ’ O * lí L~] $ I P €> 






Endereço http://maquinaforense/imagens/imagem.out.html| 


~z\ 


Links 


iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiT T T TT T Tr Tr 

• -T.T. • • -Tt.T. ■ -T.T. -T. .Jtt. .T. .T. .T. _!_! ! !T.T._M !Xxxxxxxx 

!!!!!! ! AaaaaT.Tt. ! ! ! Tt. . Ttt.ÀaaaaÀaaaaaÀaaaAaaaaaaXxxxxxÀaaaAaaaÀaaaa 


aa 

i i 


XxxxxxxxAaaaaaaaAaaaaaaÀaaaC ZzzzzzzT .!!!!!!!!!!!!!! 


i i 
i i 


!!!!!! 

!Xxxxx 
!!!!!! 
xxXxxxxx| 

! T.XxxxxxJ 

.XxxxxT. . .Xxx_[! 
!!!T...!!!!! 


!!!!!!!!!!!!!!! 
XxXXxxXx!!!!Xxx 
!!!!XXxXXxxx!!! 


! Xx 


T...XxxxxxxXxxxxxxT....Xxxx! 


XXxxXXxxxxxXxxx 

i i i i i i i i i i i i i i i 


; ; 
; ; 

i i 


Xxxx 
! ! ! ! 
i i i i 


.aaaT.XxxxxAaaaaT. . . Xxxx ! !!!!!! ! XxxxxT.T. 


!!!!!XxxxxxXxxxxxT...XxxXxxxxxxXxxxxx! 


i 


!!!!!!!!! T.XxxxxxXXT. 


,Xxxxx 


!_!_!!! !T. X xxxx ^ xxxxxx A aaaa _ 

!Xxxx_M ! ! ! ! AaaaaXxxxxxxT.X xxx 2? xxxxx ^ xxxx 

XxxxxxxXxxx!!!!!!!!!!!!!!Aaaaaa!!!!!!!!! 

X J. 

i i 


xx_ 

T..T.. 


!!_!_!!!!!_!_!!!!_!_!!!!! !XxxxxXxxxx_! ! ! ! 
XxxxxxxXxxxXxxxxXXxxxXxxxxxXxxxXxx 


XxxXxxxxxXxxxxxXxxxxXxxJ 

! ! ! i i 

; ! ! ; ! 

Xxxxx 
i i i 


Xxxxxx 

i i i i i i 
!!!!!! 
XxxxxxxXxxxxx 


!IXxxxxxx 
Aaaaa!!!! 

XxxxxXxxxXxxXxxxxXxxxxxJ^! 
T.T.XxxxT.Tt. . . .Xxxxx 


. .T.T. .Xxxxxxx 

xXxxxxXxxxx!!!!!!! 


iaaaj_! !!!!T. .XxxxxxT. . 

!!!!!!!!!! T....!!!!! ! 


IXxxxxxxTtt....XxxxxT....XxxxxXxxxXx 
!XxxxxxT. ...!!!!! ! Tttt. .Tt.! ! ! 


!_!_!!!!!_!_!!!! !Xxx_M !!!_!_!! M ! !T. . . .T. X xx ^ xxxxx 1 z z z z z_!_! ! ! ! !T. .Tt. 

! ! XxT.XxxxT. .T. .Tt.Tt. .T. . .T. .T. .T. .T. . . .T. . . . Tt. T.T. .T. .T. . .T 


!X}{T. . . XxxAaaaa_M !XxxxxxXxxxxXxxxxxxX 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Tt.... Xx 
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Ferramentas Uníjx/Unux 

Avaliação (Análise "Post-Mortem") 


TCT :: The Coronéis Toolkit 

Limitações : 

• Tipo de Partição Investigada 

• Não reconhece partições NTFS, FAT e EXT3 

• Interface Pouco Amigável 

* Necessário conhecimento de legendas 



• Ausência de mecanismo de catalogação de perícias 
realizadas 

• Framework ??? 
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Ferramentas Un Ix/LÜnux 

Avaliação (Análise "Post-Mortem") 


Sleuth Kit 

• Coleção de ferramentas para análise de sistemas 

• Capaz de analisar sistemas de arquivos NTFS, FAT, UFS, 

EXT2 e EXT3 

• Brian Carrier - 2002 

• Inicialmente chamado T@SK - The @stake Sleuth Kit 

• Baseado no TCT 


Brian Carrier desenvolveu, antes do T@SK um conjunto de ferramentas 
que utilizam funções e estruturas do TCT provendo funcionalidades 
extras. A estas ferramentas deu o nome de TCTUTILS 

ftseginfo 
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Ferramentas Un ix/Unux 

Avaliação (Análise "Post-Mortem") 

The Autopsv Forensic Browser 

• Interface gráfica (escrita em Perl) para o Sleuth Kit 

• Baseada em HTML, semelhante a um gerenciador de arquivos 

• Permite analisar arquivos, diretórios, blocos de dados e 
i-nodes (alocados ou apagados) em uma imagem de sistema 
de arquivos ou em um arquivo gerado pelo dls. 

• Permite a busca por palavras-chave ou expressões regulares. 
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Ferramentas Un ix/Unux 

Avaliação (Análise "Post-Mortem") 

The Autopsv Forensic Browser 

• Pode ser executado diretamente no sistema comprometido 
(ideal em casos onde não é possível extrair imagens do sistema 
de arquivos) 

• Monta um framework com possibilidade de armazenamento 
de casos (Cases) periciais para eventual análise posterior. 

• Individualiza os investigadores de um mesmo caso 
(usando a mesma estação pericial) 
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Ferramentas Un ix/Unux 

Avaliação (Análise "Post-Mortem") 

The Autopsv Forensic Browser 


root@estacaopericial:~# a£itopsy & 
[1] 1074 

root@estacaopericial:~# 


Autopsy Forensic Browser 
http ://www.sleuthkit.org/autopsy/ 
ver 1.75 


Evidence Locker: /var/lib/autopsy/ 
Start Time: Sat Sep 04 09:59:26 2004 
Remote Host: localhost 
Local Port: 9999 


Open an HTML browser on the remote host and paste this URL in it: 


http ://localhost:9999/34346426042338741437/autopsy 


Keep tJiis"pn0CéSs* running and use <ctrl-c> to êxif 
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Ferramentas Un ix/Unux 

Avaliação (Análise “Post-Mortem") 

The Autopsv Forensic Browser 

Tela Inicial 


T ^aí ALúop-jy Zityjjwt - MuziHzi 


File Edit View Gp Bookmarks Tools Win do w Help 
QlQ q q I ^ http://localhost: 9999/34346426042338741437/autopsy 


Si 


Home QBookmarks The Mozilla Or.. ^ Latest Builds 


WARNING: Your browser currently has Java Script enabled 
You do not need Java Script to use Autopsy and it is recommended that it be turned off for security reasons 

Warning: You are using Perl v5.8. 

Some buffer problems have been reported with Autopsy and Perl 5.8 where output is not shown. 

Perl 5.6 should be used if available. If data is missing, reload the page 



httn : /Aa/w. steuthkit. orq/autopsv 


Open Case 


New Case 



.EJ 13 df O 
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Unjx/LÜnux 

Avaliação (Análise "Post-Mortem") 


The Autopsv Forensic Browser 

Galeria de “Cases” (Case Gallery) 


ôsegii 


^ File Edit View Go gookmarks Tools Window Help 


GLQ Q O | 'nj- http://localhost:9999/33100297743418765868/au | [ Search U 



Case Gallery 

Host Gallery j , Host Manager j . 




Name 

Description 


<*• NAR1 S_l NV_00 12_2 004 

Investigação 12/2004 

details 

C NAR 1 S_l NV_00 13_2 004 

Investigação 13/2004 

details 

C Desafios_Honeynet 

Challengers 

details 

c NAR 1 S_ 1NV_0 014_2 004 

Investigação 14/2004 

details 

C NAR 1 S_ 1NV_0015_2004 

Investigação 15/2004 

details 

OK 

New Case 

Main Menu 

Help 
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Ferramentas Unax/onux 

Avaliação (Análise "Post-Mortem") 


The Autopsv Forensic Browser 

Galeria de “Hosts " (Host Gallery) 


ò 


segir 


A file Edit View Go Bookmarks Tools Window Help 


| ^ http://localhost: 9999/3310029774 3418 765868/autop 1 s Search ) «oi 


Case: NARIS_INV_0012 

1 

M 

O 

O 

A 



Case Gallery Host Gallery 

Host Manager j m 



1 Ül J 



Name 

Description 


<? 

HostOl 

Servidor da SINFO/UFRN 

details 

r 

Host02 

Equipamento do Prof. Carlos 

details 

r 

Host03 

Servidor de Logs SINFO/UFRN 

details 



Investigator (for reports only): None Provided 


OK 

Add Host 

Close Case 



HELP 
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Ferramentas Unjx/Unux 

Avaliação (Análise "Post-Mortem") 


The Autopsv Forensic Browser 


& 


segir 


il!È 


Gerenciador de " Hosts” (Host 

Mananâr) 

OpEí/j Jí/j-jíje* i/j 


U=J L=J L*. 


File Edlt VI ew Go Bookmarks Tools Wlndow Help 

<^L (ü 


^ http://loealhost:9999/34346426042323 t [ Q» Search ] 


-Ü Home PH Bookmarks *s> The Mozllla Or .. *n>. Latest Bullds 


Case: Scan24 
Host: localhost 


Case Gallery 


Host Gallery 


Host Manager 


mount 

a : / 


<? 


name 

images/image 


details 


OK 


Add Image 
HELP 


C lose Host 


File ActivttyTime Lines 

View Notes 


Image Integrity 


Hash Data bases 


Event Sequencer 


EH) QJ O 
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Ferramentas Unix/Unux 

Avaliação (Análise "Post-Mortem") 

The Autopsv Forensic Browser 

Criando um Novo 'Case' 
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Ferramentas Unlx/LÜnux 

Avaliação (Análise "Post-Mortem") 


The Autopsv Forensic Browser 

Adicionando uma Nova Imagem 


... . .. ~.v.*:nr, 

a. File Edit View Go Bookmarks Tools Window Help 


Q 0 Q O O | ^ http://localhost:9999/33100297743418765868/autopsy?func = 126&host=Disquete&case = Desafios 


Si 


Case: Desafios_Honeynet 
Host: Disquete 


ftsegii 


Add a New Image 


Image Details 

Location (starting with /); (/imagens/imagebsd dd 

Import Method: <** Symlink to Evidence Locker 
Copy to Evidence Locker 
<~ Move to Evidence Locker 
(Warning: image loss could occur 
during a system failure) 

File System Type: [bãdT 
Original Mount Point (i.e. c:\): ““ 


fatl2 

fatl6 

fat32 

freebsd 

—Iinux-ext2 

Image Integrity Chec i inux - ext 3 

ntfs 

openbsd 

Ignore: soians 

Add: raw 


Calculate Now 


MD5 


swap 


iting point not required for 
n types 

i (i.e. MD5) 


f~ Verify MD5 After Importing? 


Add image 


1 
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Ferramentas Uníjx/Unux 

Avaliação (Análise "Post-Mortem") 


The Autopsv Forensic Browser 


Estudo de Caso (Scan do Mês 24 :: 

10 / 2002 ) 


Desafio: 


The Honeynet 

0 O © O © ® ©® 


www.honeynet .org 


Analisar a imagem recuperada de um disquete e responder as questões propostas. 


1. Quem são os fornecedores de maconha de Joe Jacobs e qual 
o endereço informado pelo fornecedor? 

2. Que dados cruciais estão disponiveis dentro do arquivo 
coverpage.jpg e porque estes dados são cruciais? 

3. Quais (se existe alguma) outras escolas além da Smith Hill 
Joe Jacobs frequenta? 

4. Para cada arquivo, que procedimentos foram feitos pelo 
suspeito para mascará-los dentro de outros? 

5. Que procedimentos você (investigador) utilizou para examinar 
com sucesso o conteúdo de cada arquivo? 

ôseginfo 
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Ferramentas Unix/Línux 

Avaliação (Análise "Post-Mortem") 



The Autopsv Forensic Browser 

Exercício: Exame de Conteúdo (File Analysis) 




segn 


A File Edit View Go Bookmarks Tools Window Help 


. 0 o Q Q 


% http://localhost:9999/18283448323218845572/autopsy?func=2&mode=16&case=Scan24&host=IO |C\ Search 


File Analysis Keyword Search FileType 


IMAGE DETAILS META DATA 


Data Unit Help Close 






View 

Directory: 

a:/ 


OK 


All Deleted Files 


Expand Directories 


JL 


na 


Current Directory: au 

ADD NOTE GENERATE MD5 LIST OF FILES 


Del 


oH 


Type 

dir / in 

NAMEÜv 

Written 

ACCESSED 

Created 

SlZE 

UID 

GID 

Met, 

r / r 

cover 

2002.09.11 

2002.09.11 

2002.09.11 

15585 

0 

0 

8 


page. jpgc 
(C0VERP~1.JPG) 

08:30:52 (GMT) 

00:00:00 (GMT) 

08:50:26 (GMT) 





r / r 

JilHIHV 

2002.04.15 

2002.09.11 

2002.09.11 

20480 

0 

0 

5 


Junale.doc 
( IMMYJ~1.DOC) 

14:42:30 (GMT) 

00:00:00 (GMT) 

08:49:48 (GMT) 





r / r 

Scheduled 

2002.05.24 

2002.09.11 

2002.09.11 

1000 

0 

0 

11 


Visits.exe 

(SCHEDU~1.EXE) 

08:20:32 (GMT) 

00:00:00 (GMT) 

08:50:38 (GMT) 






<E 


rs 
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Ferramentas Unax/onux 

Avaliação (Análise "Post-Mortem") 


The Autopsv Forensic Browser 

Exercício: Exame de Conteúdo do Arquivo 

Apagado 


.= ,.r.„ 

^ Eil® JEdit View Go Bookmarks Tools Window Help 


‘1 


OL | ^ http://localhost: 9999/23269899513633577488/autopsy?func = 2S*mode = 32&<case = Desafios_Honeyr | [ Search ] 


File Analysis 


Keyword Search 


FileType 


IMAGE DETAILS 


M ETA DATA 


Data Unit Help Close 

? 1 5c ] 


Sector Number: 

Number of Sectors: 


F" 

Sector Size: 512 
Address Type: 

J Regular (dd) ^| 

Lazarus Addr: V~ 

OK 

Allocation List 


& 


S 6 QI lw^ 


PREVIOUS 
EXPORT CONTENTS 


NEXT ^ 
ADD NOTE 


ASCII ( displav - report ) * Hex ( displav - report ) * Strings (display - report ) 
File Type: Microsoft Office document data 

Sector 33 
Not Allocated 

Find Meta Data Address 


String Contents of Sector 33 (512 bytes) in images/image 


bjbj **, 

Jimmy Jungle ♦ 

626 Jungle Ave Apt 2 * 

Jungle, NY 11111 + 

Jimmy: 

^>ude, your pot mus^£**the best 

of High Times Magazine! Thanks for sending me the Cover Page. What do you put in your soil whe 
These kids, they tell me marijuana isn 
t addictive, but they don 
t stop buying from me. Man, I 

m sure glad you told me about targeting the high school students. You must have some experience. It 
s like a guaranteed paycheck. Their parents give them money for lunch and they spend it on my stuff. I 
m an entrepreneur. Am I only one you sell to? Maybe I can become distributor of the year! 

I emailed you the schedule that I am using. I think it helps me cover myself and not be predictive. Tell me what 
Thanks, 

Joe 

urn:schemas-microsoft-com:Office:smarttags 
Street 

urn:schemas-microsoft-com:Office:smarttags 
address 

urn:schemas-microsoft-com:office:smarttags 


<L 


I 
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Ferramentas Unax/Unux 

Avaliação (Análise "Post-Mortem") 


The Autopsv Forensic Browser 

Exercício: Exame de Conteúdo do Arquivo Scheduled 
Visits.exe 
































Unjx/LÜnux 

Avaliação (Análise "Post-Mortem") 


The Autopsv Forensic Browser 

Exercício: Exame de Conteúdo do Arquivo Scheduied 


^ File Edit Vie w G o Bookmarks Tools Window Help 





I ' I ^ http://localhost: 9999/2326989951363 3577488/autopsy?func=2£<mode = 32&caO | | Search | > 


File Analysis KeywordSearch 


File type 


IMAGE DETAILS 


Meta Data 


Data Unit 


Help Close 

? I x 


' 


Sector Number: 


Number of 
Sectors: 


Sector Size: 512 
Address Type: 

I Regular (dd) j 

Lazarus Addr: I 

OK 

Allocation List 


^Previous Next ^ 

EXPORT CONTENTS ADD NOTE 

ASCII ( display - report ) * Hex ( display - report ) * Strlngs (display - report ) 
File Type: Zip archive data, at least v2.0 to extract 

Sector 104 
Allocated 

Find Meta Data Address 


String Contents of Sector 104 (512 bytes) in images/image 


Scheduied Visits.xls 
5kUM 

N* ■■■■■■■■■■• 

N [ ! 

sC6g ( 
yGU- 
nFUJf 
. +bN 

\05"s>U7 

+bg^ 

Oh HZ 

1C/-I-N 

X%#$ 

4N ‘ L" 

Q~_bY 
Y/*9 
b, W0$ 
o 13; 

NBY4 
}aR$h 
N [ Iy 
wV&M 
U~ P 


Arquivo .XLS exportado 
solicitou senha 
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Ferramentas Uníjx/Unux 

Avaliação (Análise "Post-Mortem") 


The Autopsv Forensic Browser 

Exercício: Exame de Conteúdo do Arquivo 


ò 


segir 


^ File Edit View Go Bookmarks Tools Window Help 


O Q O O [ 


^ http://localhost:9999/33100297743418765868/autopsy?func = 2&mode = 64&case=Desafios 




File Analysis Keyword Search 


FileType 


IMAGE DETAILS 


M eta Data 


Data Unit 




Help Close 


Dir Entry Number: 

[i 

OK 

Allocation List 


^Previous Next 

Report View Contents Export Contents add note 

Find File 

File Type: 

PC formatted floppy with no filesystem 

MD5: 

f 49e d788a c c 2753e 5a1736808d c d dl38 - 

Use of uninitialized value in string ne at /usr/share/autopsy/autopsyfunc.pm line 4683. Details: 

Directory Entry: 8 

Allocated 

File Attributes: File, Archive 
Size: 15585 

bfVnkV: "í" 

Name: COVERP-l.JPG 


Adjusted Directory Entry Times: 
Written: Wed Sep 11 08:30:49 2002 
Accessed: Tue Sep 10 23:59:57 2002 
Created: Wed Sep 11 08:50:23 2002 

Original Directory Entry Times: 

Written: Wed Sep 11 08:30:52 2002 
Accessed: Wed Sep 11 00:00:00 2002 
Created: Wed Sep 11 08:50:26 2002 

Sectors: 

451 
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Ferra me n ta s Unix/Línux 

Avaliação (Análise "Post-Mortem") 


The Autopsv Forensic Browser 

Exercício: Exame de Conteúdo do Arquivo 



|L File Edit View Go Bookmarks Tools Window Help 


& 


segirfc 


GLQ O O | http://localhost: 9999/23269899513633577488/autopsy?func = 26<n | [ Search 


File Analysis Keyword Search 


FileType 


IMAGE DETAILS 


Meta Data 


Data Uimit 




Help Close 


Sector Number: 

jios 

Number of 
Sectors: 


Sector Size: 512 
Address Type: 

| Regular (dd) ^ i 


Lazarus Addr- I - **.. Pw=goodtimes ; J •***, 
Lazai us A\aar. • *s«hadwl«d»ffsits . xl 


OK 

Allocation List 


^iPHEVlOUS Next m + 

Export Contents add note 

ASCII ( displav - report ) * Hex ( displav - report ) * Strings (display - report ) 


Sector 103 
Allocated 

Find Meta Data Address 


File Type: data 


String Contents of Sector 103 (512 bytes) in images/image 


5k UM 
gvmq[A 

sC6g ( 
yGU- 
nRUf 
,+bN 

\05"s>U7 

+bg~ 

Oh HZ 

1C/+N 

X%#$ 

4N' L" 


N [ ! 


'Senha da Planilha ??? 

A planilha contém a lista 
solicitada pelo Desafio 
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Ferramentas Un jx/Unux 



http ://www.e-fense.com/heiix/ 


ôseginfd 


http ://mirrors.cmich.edu/helix/Helíx2008Rl.iso 
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Ferramentas Un ix/Unux 

Outros Conjuntos de Ferramentas em Live-CD 

• Professional Hackers Linux Assault Kit (PHLAK) 

http://www.phlak.org 

• Knoppix security tools distribution (Knoppix-std) 

http://www.knopplx-std.org 

• Penguin Sleuth Kit Bootable CD 

http://www.linux-forensics.com 

• Forensic and Incident Response Environment (F.I.R.E) 

http://fire.dmzs .com/ 
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Ferramentas Un ix/Unux 


Outros Conjuntos de Ferramentas em Live-CD 

Fdtk Ubuntu-BR 
http://www.fdtk.com.br 

• Forense Digital Toolkit 

• Projeto livre que objetiva produzir e manter uma distribuição 
para coleta e análise de dados em Perícia Forense Computacional 















Fdtk Ubuntu-BR 



• Coleta de Dados 

• Formulário --> Formulário de Cadeia de Custódia 

• air -> Interface gráfica para dd/dcfldd, para criar facilmente imagens forense 

• dcfldd -> Versão aprimorada pelo DOD (Departament of Defense) do dd 

• dd --> Ferramenta para geração de imagem dos dados 

• ddrescue --> Recuperar dados de hds com setores defeituosos (bad blocks) 

• sdd --> Versão da ferramenta dd para Fitas (DAT, DLT...) 

• memdump -> Dump de memória para sistemas UNIX-like 

• md5sum --> Gerar hash md5 

• shalsum ~> Gera hash sha (160bits) 

• discover -> Informações sobre Flardware 

• hardinfo -> Informações e Testes do Sistema 

• Ishw-gráfico --> Lista os dispositivos de hardware em formato FITML 

• sysinfo -> Mostra informações do computador e do sistema 
-> Remover totalmente os dados das Mídias 

Perícia Forense Computacional:: Ricardo Kléber (www.ricardokieber.com.br) 
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ôseginfü 


Exame de Dados (1/2) 

• cabextract --> Acessar conteúdo de arquivos .cab 

• orange --> Ferramenta para manipular arquivos .cab 

• p7zip ~> Acessar arquivos zip 

• unshield --> Ferramenta para descompactar arquivos CAB da MS 

• exif -> Ler informações EXIF de arquivos jpeg 

• exifprobe -> Exame do conteúdo e da estrutura dos arquivos de JPEG e TIFF 

• exiftags --> Adquirir informações sobre a câmera e as imagens por ela 
produzidas 

• jhead --> Visualizar e manipular os dados de cabeçalhos de imagens jpeg 

• jpeginfo --> Ferramenta para coletar informações sobre imagens jpeg 

• antiword --> Ferramenta para ler arquivos do MS-Word 

• dumpster -> Acessar os arquivos da lixeira do Windows 

• readpst --> Ferramenta para ler arquivos do MS-Outlook 
reglookup ~> Utilitário para leitura e resgate de dados do registro do Windows 

gp --> Acessar o conteúdo de arquivos .dat 


Perícia Forense Computacional:: Ricardo Kléber (www.ricardokleber.com.br) 
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Exame de Dados (212) 

• gnome-search-tool ~> Ferramenta gráfica de localização de arquivos 

• slocate --> Localiza arquivos e indexa os disco 

• ntfscat --> Concatena arquivos e visualiza-os sem montar a partição NTFS 

• ntfsclone -> Clonar um sistema de arquivos NTFS ou somente parte dele 

• ntfsinfo -> Obter informações sobre partições NTFS 

• ntfsls ~> Lista o conteúdo de diretórios em partições NTFS sem montá-los 

• atback -> Ferramenta para recuperar dados de sistemas de arquivos FAT 

• foremost ~> Ferramenta para recuperação de imagens a partir dos cabeçalhos 

• gzrecover --> Ferramenta para extrair dados de arquivos gzip corrompidos 

• ntfsundelete -> Recuperar arquivos deletados em partições NTFS 

• recoverjpg -> Ferramenta para recuperar imagens jpg 

• scrounge-ntfs -> Ferramenta para recuperar dados de partições NTFS 

• chkrookit ~> Ferramenta para identificar a presença de rootkits no sistema 
rkhunter -> Ferramenta para identificar a presença de rootkits no sistema 

ageindex -> Gera galeria de imagens em html 


Perícia Forense Computacional:: Ricardo Kléber (www.ricardokleber.com.br) 










Questüonamentos 


ôseginfo 
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